Wireshark の負荷が大きいときは Tshark を使うべし
Wireshark でパケットキャプチャをするとき、大量にデータが入ってくるとPCが重くなりますよね。それもそのはず。パケットをメモリ上に溜め込んでいるのですから。
トラブルシューティングをする際に、再現する時刻がバラバラの事象の場合、Tshark がお勧めです。メモリ上ではなくディスクにファイルとして書き込んでいくようになりますので、メモリ消費が無いのです。
Tshark は Windows 版の tcpdump と考えればよいでしょう。Wireshark をインストールすれば使えるようになります。
Tshark の使い方
まずはインタフェースの ID を確認するため、以下コマンドを打ちます。(tshark -D でも同等の結果が出力されますが、ASCII のみの対応のようで、日本語は文字化けしてしまいます。)
一番左の番号がインタフェース ID。複数出てきた場合はどのインタフェースをキャプチャしたいかを確認し、そのインタフェース ID を覚える。
そして次のコマンドを打ちます。
オプションについて
-w は出力するファイル名の指定です。実行ディレクトリ(今回はc:\)にnwwatch.pcapというファイルが生成されます。もしくはフルパスを書けばその場所に保存されます。
-b filesize: これは言わずもがな、ファイルサイズ指定です。10000KB = 10MB に達したら新たなファイルを作ります。
また、-b duration: を使えば、秒単位でのローテーションが可能です。
キャプチャフィルタ
先ほどの例では使っていませんが、キャプチャフィルタを使えば、狙った通信だけをキャプチャすることができます。キャプチャフィルタは Wireshark の閲覧時のフィルタとはフォーマットが異なり、tcpdump (正確には libpcap)と同じです。
例えば 192.168.1.1 に関するtcp:80のパケットだけを見たい場合(192.168.1.1が送信元IPもしくは宛先IPであり、かつ tcp:80 が送信元ポートもしくは宛先ポートである通信)
もう1つの例として、宛先が172.16.0.0/16の範囲で、かつDNSおよびhttpを除外する例
TCPの16000~16100までの範囲を見たい場合
リードフィルタ
取り込んだファイルはGUI のwireshark で閲覧可能ですが、CLI の tshark (-rオプション) でも閲覧可能です。-Yオプションでフィルタを指定しますが、フォーマットはキャプチャフィルタと異なり、Wireshark のものになります。
Wiresharkの勉強については、以下の書籍がお薦めです。
